GDPR в рамках игорного бизнеса

В процессе игорной деятельности компания собирает персональные данные игроков. В связи с этим одна из категорий требований к таким проектам связана с обработкой и защитой этих персональных данных. Одно из самых строгих регулирований – европейское. Основной акт, регулирующий этот процесс - GDPR. В этой статье вы прочитаете, какие требования распространяются на игорный бизнес в связи с GDPR и как их соблюсти.

Содержание:

• Что такое GDPR?
• На кого распространяется GDPR?
  • Территориальное действие GDPR
  • Что относится к персональным данным по GDPR
• Какие требования к игорному бизнесу в рамках GDPR
• Риски нарушения требований GDPR

Что такое GDPR?

GDPR (General Data Protection Regulation) – Общий регламент защиты персональных данных. Это акт Европейского Союза, который вступил в силу 25 мая 2018 г. Он считается одним из революционных в области персональных данных. Некоторым компаниям пришлось адаптироваться под требования этого акта в течение продолжительного времени. Поэтому если вы только открываете гемблинг-проект лучше сразу учесть положения GDPR.

На кого распространяется GDPR?

Территориальное действие GDPR

Поскольку GDPR – акт Европейского Союза, то в первую очередь все критерии связаны с ЕС,

В соответствии со ст. 3 на гемблинг-проект распространяется действие GDPR, если:

1. Обработка данных ведется в контексте деятельности организационной единицы в ЕС. Необязательной является регистрация в качестве юридического лица в ЕС. Для определения наличия организационной деятельности суды смотрят на следующие критерии: есть ли у компании пользователи из ЕС, открытый счет, почтовый ящик и представитель на территории ЕС.
2. Субъект данных находится в ЕС и обработка связана с предложением товаров и услуг.

Для наличия этого критерия пользователю необязательно обладать гражданством одного из государств ЕС, достаточно просто находиться на территории ЕС.

Предложенные товары и услуги необязательно должны быть платными.

При этом должно быть очевидно, что лицо, обрабатывающее персональные данные, предлагает товары и услуги именно субъектам на территории ЕС. Судебной практикой выработаны следующие критерии. Доступности веб-сайта, адреса электронной почты и использование языка государства- члена недостаточно. Более убедительными являются использование валюты, упоминание пользователей, которые находятся в ЕС.

Одной из наиболее популярных юрисдикций для получения игорной лицензии является Мальта. Такая лицензия распространяется на все страны ЕС. Для того чтобы получить лицензию, необходимо иметь зарегистрированное юридическое лицо в соответствии с законами Мальты. Следовательно, вы автоматически подпадаете под первый критерий. Поэтому если у вас игорная лицензия Мальты, действие GDPR на вас распространяется. Про порядок получения игорной лицензии на Мальте, вы можете прочитать в нашей статье.

Что относится к персональным данным по GDPR

К персональным данным относится любая информация, которая относится к субъекту, уже идентифицированному или которое можно идентифицировать.

Таким образом, к персональным данным относится:

• ФИО
• Адрес
• Телефон
• Паспортные данные
• Информация о рождении
• Email
• Аккаунты в социальных сетях
• Другие

Какие требования к игорному бизнесу в рамках GDPR

Таким образом, если на вас распространяется действие GDPR, стоит проверить свой бизнес на соответствие следующим требованиям и выявить риски:

1. Защищенность по умолчанию. Этот новый принцип в регулировании подразумевает, что вы должны учитывать требования по обработке персональных данных еще на этапе дизайна процессов обработки.
2. Согласие пользователя. Такое согласие может быть выражено в рамках пользовательского соглашения. О том, как правильно составить пользовательское соглашение для игорного бизнеса, можно прочитать в нашей другой статье. Согласие на обработку персональных данных должно быть:

• Свободно данным
• Конкретным
• Информированным
• Недвусмысленным. Оно должно быть выражено активными действиями, поэтому лучше не проставлять галочку по умолчанию за пользователя.

Риски нарушения требований GDPR

Оперативное уведомление. Если оператор нарушил безопасность персональных данных, то он обязан уведомить субъекта, т.е. самого игрока и надзорные органы. Субъекта стоит уведомить как можно более оперативно, а для уведомления надзорных органов есть конкретный срок – в течение 72 часов.

Ответственность. За нарушение правил на компанию может быть наложен штраф до 20 млн евро или 4% от годового оборота компании.

Если гемблинг-платформа не готова к соответствию требованиям GDPR, стоит ограничить доступ к вашему сайту для стран ЕС. Эти технические настройки дадут вам период для адаптации под требования акта.

Таким образом, при создании игорного бизнеса нельзя не учитывать требования по обработке персональных данных, предусмотренных GDPR. Вначале стоит определиться, распространяется ли на ваш проект GDPR. Если да, затем следует выявить несоответствия и устранить их. Иначе европейский надзорный орган может привлечь к ответственности. Наши юристы A4 Law Firm помогут вам составить документы, соответствующие требованиям GDPR, а также проверить соответствует ли процесс обработки данных игроков нормам европейского акта.